心臟滴血後的第三年，OpenSSL開源團隊訪華紀實

20 世紀 90 年代，美國開始對加密演算法實施出口限制政策。

1995 年，太平洋彼端的另一個國家——澳大利亞，年輕的 Eric Young 與 Tim Hudson 在網路上公開了自己開發的初版 SSLeay 加密庫。

1998 年12 月，SSLeay 停止開發，社區另外分支出 OpenSSL。

2014 年，OpenSSL 1.0.1版本出現「心臟滴血」漏洞。

2017 年，OpenSSL 繼續在前進，他們來到中國，也來到北京，故事仍然在繼續。

離開陰雨綿綿的上海，我們啟程來到了陽光和煦的北京，9 月 23 日 FreeBuf 應會議組織方白山雲科技的邀請，在三里屯的科技寺創業空間見到了首次來到中國的 OpenSSL 團隊。團隊的 5 位核心成員悉數到場，Steve Marquess、Matt Caswell、Tim Hudson、Rich Salz、Richard Levitte，他們用溫和而略帶好奇的眼光環視著會場，打量著台下數百名聞訊而來參會的觀眾，早早地來到座位上等待演講的開始。

本次分享的主題是 

「未來密碼 —— 從互聯網傳輸協議到後量子時代的密碼學」 

，他們分別從 OpenSSL 社區與文化、 TLSv1.3 協議在 OpenSSL 的實現、 IETF 工作流程及同態加密、 OpenSSL Roadmap 及新版本規劃，以及量子加密和後量子時代的密碼學進行分享。

同時我們也了解到很多隱藏在 OpenSSL 團隊過去 22 年發展歷程中的故事。

心臟滴血，不可迴避的歷史時刻

作為互聯網加密傳輸的核心基礎組件 OpenSSL 一直備受關注，多數安全傳輸場景下也都是使用 OpenSSL 開源項目進行開發的，這樣的全球項目自 1995 年正式成立到 2017年的當下，已經走過了 22 年的風雨，三年前年心臟滴血危機的陰影逐漸淡去，卻成為 OpenSSL 歷史中不可迴避的一段特別時期。

OpenSSL團隊「大管家」——Steve Marquess

在交流環節中，OpenSSL 團隊管委會成員的 Steve Marquess 談起了 2014 年心臟滴血發生的那個時刻。

Heartbleed 是一次慘痛的經歷，全球各家媒體都報道了這個安全漏洞的嚴重影響。OpenSSL 涉及的規模和複雜程度那麼大，但對於當時的項目團隊（全職僅兩人）來說，我們缺乏人手來完全杜絕安全漏洞。

事件發生之前，我們只是默默無聞的開發團隊，但事件發生之後，真的很難形容那是怎樣的感受。

那段時間連我去看牙醫，我的醫生都會關切地問我『你最近怎麼樣了，我好像經常在電視上看見你呢』。

對於一個人手有限的團隊來講日子確實不好過。也是在意料之中，我們收到了很多批評和負面評價，但也有很多讓人溫暖的鼓勵和支持——我們在全球都收到了反饋，甚至有很多幫助來自那些我都無法在地圖上找到的國家。

特別在中國，我們也收到了令人鼓舞的信息。而除了這些鼓勵信息之外，我們還收到數百個來自中國的個人、以及兩家中國企業

鎚子科技

華為

同時，中國也出現像白山雲科技這樣的公司，通過工程師在業餘時間貢獻才華和時間的方式來幫助OpenSSL。支持 OpenSSL 的方式不僅限於捐款，還有貢獻你的才能和時間。

從 22 年前默默無聞的開源項目起步

對於和平時代的普通人而言，加密技術可能只是一種遙遠的武器，而在政府等權威的眼裡，加密技術卻是一種禁止出口的武器。OpenSSL 因美國當時對於加密演算法的出口限制而誕生。

這個非商業性質的開源項目，需要很長久的時間，才能逐漸贏得人們的關注、認可和名譽，並逐漸實現一些盈利。耐心、時間和付出是很長一段時間裡他們唯一驕傲的東西。這個過程中，團隊成員也坦言他們確實需要資源，但如果只著眼利益，就會沒有耐心投入足夠的時間和資金來完善這個開源項目。當然，這也成為了部分開發人員離開團隊的主要原因。

照片從左至右分別為：

Rich Salz、Matt Caswell、楊洋、Tim Hudson、Steve Marquess 和 Richard Levitte

只是以我個人為例的話，我現在完全可以把這份工作當作興趣來做，我現在沒有什麼孩子教育資金和個人生活上的壓力，可以放心地花費時間在這個項目上。逐漸地項目的影響力擴大了，我還可以為一些企業提供 OpenSSL 諮詢來賺一些錢。

我們未來的希望還是 OpenSSL 能夠繼續擴大它的影響，我們希望看到更多的應用選擇 OpenSSL 。

2014 年發生心臟滴血事件之後，團隊在整體結構管理和項目內容上都實現了一些改變。

我們做了很多努力和改變，彌補了過去的技術債，進行了代碼重構和精簡，完善了很多功能，還做了功能上的梳理和篩選，並完成了第一次重要代碼審計。

其次，對於整個組織而言，我們團隊成員的全職人員從 2 人擴大到 4 人，管委會也有 8 人任職，社區的committer 則有 14 人。我們還為團隊制定了更書面的管理章程，便於更長久的管理。

——Steve Marquess

而危機的成功化解，讓 OpenSSL 重新啟程。

對這些分散在世界各地的團隊成員而言，在這些備受關注的非常時刻之外，更多的還是一個又一個普通的寫著代碼的日子，是在郵件列表中與社區成員的探討，是處理 GitHub 上一個又一個 Pull request 。OpenSSL 相信更開放健康的社區能夠及時發現存在的問題，及時處理隱患，不斷改善代碼質量和增加新功能，為更多的用戶提供保護隱私安全加密的服務。

OpenSSL社區歡迎更多開發者參與貢獻

其實軟體的安全問題，在開源軟體和閉源軟體上都會出現，威脅性也是同等程度的。

因為，軟體開發人員都只是人類，而只要是人類的思考，都是可能犯錯誤的，只是這些錯誤是否暴露出來。

我們要做的是建設更健康、活躍的社區，將具體的規則和政策寫明，彼此包容尊重。這種氛圍其實就是開源社區的精神，也是 OpenSSL 在過去三年里在做的事情，未來我們還會做的更好。

—— Tim Hudson

歡聚時刻，首次在中國

本次會議上 ，他們也坦言由於團隊成員都來自不同國家，平時都是遠程辦公的狀態，這次的中國行其實也是相當難得的「

相聚時刻

2014 年我們團隊在德國首次召開過第一次面對面的會議。當時的情況就是，其實我們中的多數已經相識多年，甚至有超過 15 年的，但卻在 2014 年之前從未見過。成員都來自各個國家，如美國、比利時、加拿大、瑞典、德國、俄羅斯、瑞士、澳大利亞等等。之前，我們都是通過網路上的貢獻和社區的名聲來結識並邀請他們加入 OpenSSL 團隊的。

——Steve Marquess

此次來到中國，對於團隊成員來說都是新奇的經歷，他們說此前對於中國的了解僅限於書本，此次在白山雲科技的邀請之下，才第一次親身體驗中國獨特的文化。

而在這次行程之中，他們一路走過了杭州、

深圳，

最後來到北京，感受到了中國

龐大的人口

大型的城市

中國科技企業

團隊成員參觀中國鎚子科技

開源項目是由全球各地的程序員一起完成的，對於不同地區的文化還是有著很強的包容性。但我們這些以英語為母語的程序員還是認為，中國程序員在編寫代碼時付出了比我們更多的努力，他們還需要克服語言的障礙，熟悉英語的語言結構，我認為這是非常值得敬佩的事情。

而在我們參觀的中國科技企業中，我認為他們的水平還是相當高的。我之前做的全職工作也讓我可以在全世界各個地方與各種公司打交道。我可以負責任地說，中國企業的研發在工程和軟體開發方面應該都是達到了世界級水平的。

—— Tim Hudson

而本次中國行活動的主辦方白山雲科技，也可謂和 OpenSSL 團隊交情不淺，白山雲架構師楊洋在 OpenSSL 代碼貢獻榜排名第 18 位，是亞洲地區參與 OpenSSL 項目的代表人物，在參與項目所作出的貢獻也被 Tim Hudson 等人高度評價，稱其「聰明、努力而持之以恆」。

Tim Hudson 與白山雲 CTO 童劍交流

隨著中國在經濟、科技方面的地位越來越高，逐漸能夠成為全球的創新中心，對開源社區和團隊的吸引力也越來越大，因此中國之旅的意向雙方一拍即合，達成了共識。

未來的密碼，需要考慮對抗量子計算嗎？

值得一提的是，在本次會議的最後，OpenSSL 團隊中創辦 Cryptsoft 的 Tim Hudson 還分享了涉及量子加密的有趣議題，FreeBuf 此前也曾經寫過相關的文章。

Tim 表示，過去 5 年間，量子計算和量子通訊不斷得到發展，甚至可以抵達現有密碼學領域無法企及的領域。後量子時代即將來臨，雖然究竟需要多久才能實現，誰都不得而知，但一旦量子時代到來，現有的密碼系統都會瞬間瓦解，OpenSSL 密碼工具庫也可能因此而受到衝擊，整個世界都會因此捲入一場風波之中。

量子計算對現有密碼系統的影響

儘管目前相關的研究還是在學術領域進行，還是需要來自各界更多方面的研究才可能得到完善的解決方案，而 OpenSSL 團隊也在密切關注這些新領域的發展和變化，並做好面向未來的準備。

*本文作者Elaine，FreeBuf官方報道，禁止轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！